Le groupe de travail britannique appelle à réduire les protections rgpd

prise de décision

En plus d’assouplir les protections entourant la prise de décision algorithmique, les auteurs veulent également revoir le fonctionnement du consentement, plaidant pour un nouveau cadre qui serait moins intrusif et donnerait « aux gens plus de contrôle sur l’utilisation de leurs données, y compris leur revente ».

« Le type d’autogestion de la protection de la vie privée où les consommateurs doivent lire, consentir et gérer les options dans les politiques de confidentialité individuelles pour utiliser les produits et services n’est tout simplement pas évolutif », ont-ils écrit. « L’importance excessive accordée au consentement a conduit à bombarder les gens de demandes de consentement complexes. Une illustration de ceci est la bannière de consentement aux cookies qui apparaît chaque fois que vous visitez un site Web.

En fin de compte, ils recommandent de résoudre le problème « par la création d’une architecture réglementaire qui permet de former des « fiducies de données » ou des « fiduciaires de données » – des organisations privées et du secteur tiers auxquelles les consommateurs délégueraient leurs autorisations et négociations de données ».

Dans une lettre adressée au groupe de travail, M. Johnson a salué les recommandations du rapport et a remercié les auteurs d’avoir « répondu par des plans de fond qui mettront vraiment un TIGRR dans le réservoir des affaires britanniques ».

Johnson a ajouté qu’il est « évident que les innovateurs et les entrepreneurs du Royaume-Uni peuvent diriger le monde dans l’économie du futur… cela ne peut se produire que si nous franchissons le maquis d’une réglementation lourde et restrictive.

Il a ajouté que ce n’était que le début du processus et qu’une « Unité des opportunités du Brexit » serait mise en place sous Lord Frost pour générer de nouvelles idées pour la Grande-Bretagne post-Brexit.

« Vos propositions audacieuses fournissent un modèle précieux pour cela, illustrant le niveau de réflexion ambitieuse nécessaire pour inaugurer un nouvel âge d’or de croissance et d’innovation à travers le Royaume-Uni », a-t-il écrit.

Les dangers de l’abandon de l’article 22

Réagissant au rapport et à la lettre de Johnson, le directeur des communications et de la recherche chez Prospect Union, Andrew Pakes, a déclaré qu’il était « profondément préoccupant que les droits sur les données risquent de devenir une victime sacrificielle » alors que les politiciens cherchent des moyens de relancer l’économie.

« Nous avons déjà été ici, avec des administrations précédentes essayant de faire valoir que les droits des consommateurs et des travailleurs sont un obstacle à l’innovation, alors que la réalité ne pouvait pas être plus éloignée de la vérité. Le RGPD est la base sur laquelle nous devrions construire notre économie des données et protéger les droits de l’homme », a-t-il déclaré.

« La suppression de l’article 22 pourrait être le feu vert à l’expansion de l’automatisation processing, profilage et transfert de données personnelles dans des mains privées. Nous avons besoin de lois sur les données adaptées aux défis de l’économie numérique, et non d’une course vers le bas sur les normes.

« Nous avons besoin que le gouvernement clarifie d’urgence que le RGPD est en sécurité entre leurs mains et qu’ils cherchent à travailler avec les partenaires sociaux pour bâtir la réputation du Royaume-Uni sur les données et les droits des travailleurs. »

Le Trade Union Congress (TUC) a également publié un « manifeste sur l’IA » en mars 2021 appelant à une plus grande transparence et à des protections autour de l’utilisation de la prise de décision automatisée et basée sur l’IA.

« Chaque travailleur doit avoir le droit de faire réviser les décisions en matière d’IA par un gestionnaire humain. Et l’IA sur le lieu de travail doit être exploitée pour de bon – et non pour fixer des objectifs punitifs et priver les travailleurs de leur dignité », a déclaré à l’époque la secrétaire générale du TUC, Frances O’Grady.

Gemma Galdon Clavell, directrice du cabinet de conseil en audit algorithmique Eticas, basé à Barcelone, a déclaré que si la tentative de rejeter l’article 22 est « quelque peu attendue » – car il y a eu des rumeurs selon lesquelles le Royaume-Uni utiliserait le Brexit comme excuse pour réduire les protections des données depuis un certain temps – il est surprenant qu’ils considèrent la nécessité d’une surveillance humaine comme un problème.

« Dans la pratique, la surveillance et l’intervention humaines portent principalement sur la responsabilisation et la responsabilité. Souvent, lorsque les décisions algorithmiques font des erreurs, les personnes touchées par de telles erreurs ont du mal, voire de l’impossibilité, de demander réparation et indemnisation, et les systèmes juridiques ont du mal à attribuer la responsabilité dans les processus automatisés », a-t-elle déclaré, ajoutant qu’un « humain dans la boucle » n’est pas seulement là pour examiner manuellement les décisions algorithmiques, mais aussi pour représenter les organes qui doivent assumer la responsabilité de ces décisions.

« Ils sont si rigoureux lorsqu’il s’agit de souligner pourquoi il devrait être supprimé, mais fournissent si peu de détails sur la façon de protéger les problèmes que la surveillance humaine est censée résoudre. »

Gladon Clavell a ajouté que bien qu’elle ait vu dans son travail d’audit des algorithmes comment l’intervention humaine peut parfois réintroduire un biais, cela est en grande partie dû à une mauvaise pratique au moment de l’interaction homme-IA.

« La question n’est pas l’article 22, qui est crucial pour garantir que les personnes concernées aient le droit de comprendre comment les décisions sont prises et disposent de mécanismes de recours qui lient la décision à une personne et donc à une organisation », a-t-elle déclaré, ajoutant qu’il est préoccupant que le consentement et la limitation des finalités soient considérés comme un problème.

« L’article 22 pourrait-il être développé davantage? sûr. Est-ce que l’enlever complètement est une bonne décision? Absolument pas. Les risques de l’IA sans intervention humaine significative sont bien plus grands que ses problèmes.

« Ce qui entrave actuellement l’innovation n’est pas le RGPD, mais une industrie qui souvent ne parvient pas à comprendre le contexte social sur lequel ses innovations ont un impact. Le RGPD est l’occasion de rétablir la confiance avec l’innovation en matière d’IA en veillant à ce que les personnes concernées aient leur mot à dire sur la façon dont leurs données sont utilisées. Ne pas voir et saisir cette opportunité est une myopie.

Incidence sur la pertinence des données

En ce qui concerne l’octroi de l’adéquation des données britanniques par l’Union européenne (UE), en faveur de laquelle les États membres ont voté à l’unanimité le 17 juin 2021, la validité de cet accord de transfert de données dépend du maintien par le Royaume-Uni d’un niveau élevé de protection des données. Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a annulé l’accord de partage de données du bouclier de protection des données UE-États-Unis, qui, selon la Cour, ne garantissait pas aux citoyens européens un droit de recours adéquat lorsque des données sont collectées par la National Security Agency (NSA) des États-Unis et d’autres services de renseignement américains.

L’arrêt, familièrement connu sous le nom de Schrems II d’après l’avocat autrichien qui a porté l’affaire devant la CJUE, a également établi qu’une « norme d’équivalence essentielle » est nécessaire pour les décisions d’adéquation en vertu du RGPD, ce qui signifie que les gens se voient offrir le même niveau de protection qu’ils seraient dans le bloc.

Selon Estelle Massé, responsable mondiale de la protection des données au sein du groupe de défense des droits civiques numériques Access Now, alors que nous savons depuis un certain temps que la liberté du gouvernement britannique de légiférer après le Brexit pourrait abaisser les normes de protection des données, le gouvernement a été catégorique à chaque tournant sur le fait que toute nouvelle mesure serait réellement utilisée pour renforcer les droits des personnes.

« Nous nous rapprochons maintenant de plus en plus d’une réalité où les mesures suggérées au gouvernement vont en fait dans le sens de la suppression de la protection des personnes, avec la justification qu’il y aurait moins de paperasserie, moins d’obstacles au commerce et plus d’opportunités pour les entreprises », a-t-elle déclaré, ajoutant que le Royaume-Uni devra faire un choix quant à savoir s’il veut la libre circulation des données avec son partenaire le plus proche , ou s’il veut suivre son propre chemin.

« Pour le Royaume-Uni de dire le même jour [as the adequacy decision] que « en fait, nous pourrions diverger et que la divergence pourrait signifier abaisser les normes » est un little peu incompréhensible… il est évidemment dans la liberté du Royaume-Uni de changer son cadre, mais le changer d’une manière qui modifierait les niveaux de protection des personnes déjà convenus n’est pas une mesure positive pour les droits de l’homme.

Massé a ajouté que le gouvernement britannique a utilisé l’incertitude autour des flux de données à son avantage, avec le risque étant « dès qu’ils obtiennent l’adéquation, ils divergeront, et forceront essentiellement l’UE à prendre la décision difficile de supprimer une décision d’adéquation – c’est un énorme jeu de pouvoir, je pense ».

Elle a déclaré que maintenant qu’une décision d’adéquation a été accordée, seule la Commission européenne a le pouvoir de la suspendre si le Royaume-Uni décide de diverger: « Nous n’avons aucune certitude sur ce que le gouvernement britannique va faire, mais le signal qu’ils nous envoient est qu’ils veulent réellement changer [data protection] d’une manière qui ne serait pas positive pour les gens. Jusqu’à ce que le Royaume-Uni se décide sur ce qu’il veut faire, nous pensons que l’UE n’aurait pas dû donner cette adéquation.